Offener RELAY ?

    Moin,


    Ich hab vor nen paarTagen meine Kiste mal neu gemacht.
    Dann ganz normal I-MSCP 1.1.22 auf Debian 8 drauf gemacht.


    Heute ist mir Postfix und ein ziemlich voller Mailqueue aufgefallen.


    Kann es sein das der als Relay läuft?


    Achtung - Großes Log angehängt ^^ daher als Spoiler :D


    EDIT:
    Ok - Relay'n scheint er nicht - Ich frag mich nur woher die ganzen Mails kommen.
    Ich Tippe langsam mal eher auf das PHPFusion was da läuft und das die durch nen "Hack" sendmail missbrauchen
    Wenn das so ist - werde ich den Kunden mal ne Mail schreiben ^^


    Display Spoiler

    Hallo,


    bevor man einen Verdacht irgendwelcher Configs in den Raum stellt, sollte man vielleicht erstmal ein wenig testen, ob überhaupt ein Open-Relay vorliegt.
    http://mxtoolbox.com/diagnostic.aspx


    Das Ergebnis kannst Du ja nochmal mitteilen?


    Ich tippe aber eher auf eine infizierte PHP-Anwendung. Wordpress, Joomla oder dergleichen irgendwo installiert?


    Grüße
    Chris

    Quote from Backdraft007

    Hallo,


    bevor man einen Verdacht irgendwelcher Configs in den Raum stellt, sollte man vielleicht erstmal ein wenig testen, ob überhaupt ein Open-Relay vorliegt.
    http://mxtoolbox.com/diagnostic.aspx


    Grüße
    Chris


    Hättest das Edit gelesen ^^
    Jau das es kein Offener ist hab ich schon bemerkt.
    Vermute mal das es das CMS unter der Domain ist -.-

    Was heißt du "vermutest"? Wenn man das Maillog mit dem Apache-Log des Users zeitlich korreliert, dann sieht man doch direkt, welcher URL-Call zum Mailversand führt!?
    Mich überrascht es immer wieder, wie tiefenentspannt manche Admins sind ("dem User mal ne Mail schreiben"), wenn über ihr System (mutmaßlich) Spam rausgeschickt wird. Aber musst du halt wissen, ob du damit leben kannst, auf Blacklists zu stehen.

    könnte auch sein das über einen gehackten Email Account gesendet wird, kommt in letzter Zeit sehr häufig vor ...
    Im header der Mails ist dies übrigens auch zu erkennen:
    authenticated user ...
    oder bei PHP mails sollte auch der System User vuxxx angegeben sein
    falls Punkt 1 zutrifft sollten die Passwörter der betroffenen Mailaccounts erst mal durch den Admin geändert werden, der User soll später sichere neue Passwörter verwenden und keine Mails mit Zugangsdaten in Mailaccounts speichern ...
    bei Punkt 2 würde ich sofort alle Dateien aus diesem Web irgendwo sichern und dann die im Web löschen, der User muss dann eine neue saubere Installation hochladen, auch den phptmp folder checken.
    Auch alle Passwörter des Users sollten geändert werden Panel, FTP usw.